Vì sao các ngân hàng nước ngoài dần tử bỏ gửi tin nhắn OTP?

Minh Khánh - Hà My
11:39 10/10/2020

Các ngân hàng lớn trên thế giới từ lâu đã coi phương thức gửi mã OTP qua SMS là lỗ hổng cho tin tặc lợi dụng hòng chiếm đoạt tài sản.

Ngày 4/9, ông Trần Việt Luận, một khách hàng của Vietcombank đã trở thành nạn nhân của tin tặc chiếm đoạt tài sản. Trả lời báo chí, ông Luận cho biết tuy không thực hiện giao dịch hay nhận được mã OTP, hacker vẫn lấy cắp của ông 406 triệu đồng trong tài khoản ngân hàng.

Trong công văn phản hồi vụ việc, Vietcombank cho biết tài khoản trên ứng dụng VCB Digibank của nạn nhân đã bị kích hoạt, thực hiện lệnh chuyển tiền trên một thiết bị khác. Phía ngân hàng cũng dẫn văn bản của nhà mạng xác nhận đã có 8 tin nhắn được gửi tới số điện thoại của ông Luận, cả 4 giao dịch chuyển tiền đều hợp lệ.

SIM_Swap_attack_Nord_VPN

Một số chuyên gia nhận định nạn nhân đã bị tấn công bằng hình thức "tráo SIM", trong đó kẻ tấn công chiếm quyền sử dụng SIM, nhận tin nhắn hay cuộc gọi của người dùng. Ảnh: Nord VPN

Dựa vào các thông tin được hai bên cung cấp, các chuyên gia bảo mật cho rằng sơ hở để hacker tấn công không phải ở thiết bị người dùng mà có thể là khâu xác thực bằng SMS.

"Theo thông báo từ ngân hàng, tài khoản đã bị ăn cắp và đăng nhập ở một thiết bị mới, nên có vẻ không phải nạn nhân bị 'điều khiển từ xa'", Phạm Văn Toàn, chuyên gia về bảo mật đang làm việc tại một tập đoàn công nghệ ở Singapore chia sẻ với báo chí.

Nguy hiểm, rủi ro và lỗi thời

Phương thức xác thực mã OTP qua SMS vốn được sử dụng rộng rãi trên khắp thế giới. Nhiều ngân hàng tại Việt Nam vẫn đang sử dụng công nghệ này. Ngoài ra, các tổ chức, doanh nghiệp lớn như Facbook cũng đặt niềm tin vào công nghệ xác thực 2 yếu tố gửi mã OTP qua SMS cho mục đích bảo mật.

Tuy nhiên, tin tặc giờ đây đã có nhiều cách cách đánh cắp mã xác thực gửi qua SMS của nạn nhân.

Tháng 1/2017, nước Đức chứng kiến cú sốc lớn khi hacker tấn công các tài khoản ngân hàng trong nước. Tin tặc đã khai thác thành công giao thức SS7, một phần quan trọng của mạng di động, để lấy cắp mã xác thực 2 yếu tố được gửi bằng SMS.

SIM_Swap_attack_Europol

FBI, Europol đều cảnh báo về hình thức tấn công tráo SIM. Ảnh: Europol.

“Việc sử dụng số điện thoại di động chứa nhiều rủi ro. Nếu mã OTP được gửi qua SMS, tất cả những gì tin tặc cần làm là chiếm quyền sở hữu số điện thoại của bạn”, nhà cung cấp giải pháp bảo mật Protectimus cho biết.

Tháng 9/2019, Cơ quan điều tra liên bang Mỹ (FBI) đã phát đi một cảnh báo an ninh cho các đối tác về những vụ tấn công vượt qua hình thức xác thực nhiều lớp (Multi-factor authentication hay MFA).

"FBI đã nhận thấy những kẻ tấn công mạng vượt qua MFA bằng nhiều cách tấn công vận dụng kỹ thuật hay khai thác sơ hở của người dùng", ZDNet trích báo cáo của FBI.

Trong đó, hình thức được đặc biệt lưu ý là tráo SIM, tấn công vào các trang web xác thực nhiều lớp, và sử dụng các phương thức lừa đảo như Muraen hay NecroBrowser.

FBI mô tả vụ tráo SIM vào năm 2016, khi kẻ tấn công gọi điện lên nhà mạng, khai thác các thông tin của người dùng để chuyển quyền sử dụng số điện thoại của nạn nhân vào máy của kẻ tấn công.

Sau đó, hắn dùng chính số điện thoại này để gọi lên ngân hàng, yêu cầu thực hiện lệnh chuyển tiền và cung cấp mã xác thực được gửi vào SIM. Kẻ tấn công còn đổi mã PIN thẻ tín dụng của nạn nhân để gán vào một ví điện tử của hắn.

Những vụ tấn công tương tự được báo cáo liên tục vào năm 2018 và 2019. Các nạn nhân đều cho biết mình bị mất số điện thoại, mất sạch tiền trong tài khoản ngân hàng và bị đổi mật khẩu ứng dụng hoặc mã PIN thẻ. Rất nhiều vụ sử dụng kỹ thuật khai thác sơ hở, còn được gọi là social engineering, để yêu cầu nhà mạng chuyển SIM sang thiết bị của kẻ tấn công.

Ngân hàng dùng công nghệ gì để thay thế?

Trên thực tế, nhiều ngân hàng trên thế giới, đặc biệt ở các nước phát triển đã thay thế phương thức xác thực lỗi thời này.

Tại châu Âu , nhiều ngân hàng Đức như Postbank, Raiffeisen, Volksbank,…đã dừng gửi OTP qua SMS. Luật pháp của Liên minh châu Âu EU cũng quy định trong Chỉ thị về dịch vụ thanh toán mới (PSD2) vào năm 2019, phương thức gửi OTP qua SMS không đáp ứng được yêu cầu của EU.

Thay vì chọn gửi mã OTP thông qua SMS, nhiều ngân hàng trên thế giới đã chuyển sang dùng chữ ký số, nhận diện sinh trắc học làm phương thức xác thực an toàn hơn.

Chữ ký số sử dụng khá đơn giản, dễ dàng với người dùng cuối ngay cả khi họ không hiểu rõ về mặt kỹ thuật. Quá trình trình ký và xác thực nhanh không ảnh hưởng nhiều đến tốc độ đặc biệt trong giao dịch điện tử. Theo diễn đàn Whitehat, chữ ký số nên được sử dụng rộng rãi tại các ngân hàng hiện nay. Khác với mã OTP, chữ ký số đảm bảo 3 tính chất là tính toàn vẹn, tính xác thực và tính chống chối bỏ.

Chia sẻ với báo chí, anh Đ.Đ.T, công dân Việt Nam đang sinh sống và làm việc tại Hàn Quốc cho biết sau khi mở tài khoản ngân hàng tại đây, khách hàng sẽ được cung cấp thêm thẻ bảo an, một dạng chữ ký số.

“Khi cài ứng dụng của ngân hàng bạn bắt buộc phải cài thêm app chống tin tặc. Nếu gỡ app này ra thì giao dịch trên điện thoại của bạn sẽ không thể thực hiện được nữa. Ngoài ra khi bạn giao dịch chuyển khoản tới bất kỳ tài khoản khác đều phải sử dụng thẻ bảo an”, anh T chia sẻ.

3
Thẻ bảo an chứa mã OTP được ngân hàng tại Hàn Quốc phát. Ảnh: Nhân vật cung cấp.

Theo ông Nguyễn Tử Quảng, CEO của Bkav, công ty đã nhiều lần tư vấn cho Ngân hàng Nhà nước Việt Nam sử dụng công nghệ chữ ký số thay thế SMS OTP. Mặc dù Ngân hàng Nhà nước Việt Nam đã có quy định bắt buộc áp dụng với tất cả ngân hàng, hạn mức để sử dụng chữ ký số của ngân hàng vẫn còn ở mức cao, 500 triệu đối với Ngân hàng Nhà nước Việt Nam.

“Để khắc phục những trường hợp lừa đảo như thế này, tôi kiến nghị phải hạ thấp hạn mức giao dịch xuống, tiến tới loại bỏ công nghệ SMS OTP tại ngân hàng ở Việt Nam giống như một số nước phát triển”, Ông Quảng chia sẻ trong bài đăng trên Facebook.

Trong một báo cáo bảo mật xuất bản tháng 3/2019, Microsoft cũng khẳng định xác thực nhiều lớp sẽ giảm số lượng vụ hack nhiều lần. Tuy nhiên, người dùng cần bảo vệ email hoặc số điện thoại của mình bằng các hình thức cho phép khôi phục nếu bị xâm nhập.

"Cố gắng bảo vệ chúng nhiều nhất có thể. Ví dụ, hầu hết nhà mạng đều cho phép bảo vệ SIM bằng mã PIN hoặc hình thức xác thực OATH. Bạn cũng có thể sử dụng các hình thức xác thực không dùng tới mật khẩu cho việc bảo vệ email", Microsoft chia sẻ cách bảo vệ SIM, email với người dùng.

(Theo Zing)

  • Cùng chuyên mục
Lãi suất tiền gửi lên tới 9%: Cuộc cạnh tranh huy động vốn đang nóng trở lại?

Lãi suất tiền gửi lên tới 9%: Cuộc cạnh tranh huy động vốn đang nóng trở lại?

Trong khi Ngân hàng Nhà nước liên tục yêu cầu giảm mặt bằng lãi suất để hỗ trợ tăng trưởng kinh tế, nhiều ngân hàng lại âm thầm nâng lãi suất thực tế thông qua các chương trình cộng lãi suất, sản phẩm tiền gửi đặc biệt và chính sách dành cho khách hàng ưu tiên. Mức sinh lời lên tới 8,8-9%/năm đang phản ánh áp lực huy động vốn ngày càng lớn của hệ thống ngân hàng, đồng thời đặt ra câu hỏi liệu thị trường có bước vào một chu kỳ cạnh tranh lãi suất mới hay không.

Tài chính - 09/07/2026 15:52

Hai ngân hàng chuẩn bị chào sàn HoSE

Hai ngân hàng chuẩn bị chào sàn HoSE

Hai ngân hàng Vietbank và BVBank đang hoàn tất những bước cuối cùng để chuyển giao dịch từ UPCoM sang niêm yết HoSE. Cùng với việc lên sàn, cả hai nhà băng cũng đồng thời triển khai các kế hoạch tăng vốn điều lệ.

Tài chính - 09/07/2026 07:47

Nhà sản xuất 'Anh Trai Say Hi' sẽ IPO với mức giá thấp hơn gần 33% so với định giá

Nhà sản xuất 'Anh Trai Say Hi' sẽ IPO với mức giá thấp hơn gần 33% so với định giá

ĐatViet VAC sẽ chào bán hơn 11,15 triệu cổ phiếu với giá 54.800 đồng/cổ phiếu. Mức giá này thấp hơn khoảng 33% so với giá trị 81.716 đồng/cổ phiếu theo chứng thư thẩm định, phần lớn số tiền huy động sẽ được dùng để tăng vốn cho các công ty con nhằm cơ cấu tài chính và trả nợ ngân hàng.

Tài chính - 09/07/2026 06:45

PNJ đảo chiều sau 3 phiên giảm sàn, HĐQT kích hoạt kế hoạch mua lại cổ phiếu

PNJ đảo chiều sau 3 phiên giảm sàn, HĐQT kích hoạt kế hoạch mua lại cổ phiếu

Trong bối cảnh thị giá lao dốc và nhiều công ty chứng khoán đồng loạt hạ triển vọng, PNJ kích hoạt kế hoạch mua lại cổ phiếu nhằm bảo vệ giá trị doanh nghiệp và lợi ích của cổ đông.

Tài chính - 08/07/2026 16:17

Lợi nhuận quý II tích cực và lãi suất giảm sẽ hỗ trợ chứng khoán

Lợi nhuận quý II tích cực và lãi suất giảm sẽ hỗ trợ chứng khoán

Các công ty chứng khoán cho rằng thị trường đang bước qua "vùng trũng thông tin" để bước vào giai đoạn được hỗ trợ bởi mùa báo cáo lợi nhuận quý II, lãi suất có xu hướng giảm và nhiều yếu tố vĩ mô tích cực. Đây được xem là nền tảng để VN-Index hướng tới các mốc cao hơn trong những tháng cuối năm.

Tài chính - 08/07/2026 10:47

Các CTCK đồng loạt siết margin đối với cổ phiếu PNJ

Các CTCK đồng loạt siết margin đối với cổ phiếu PNJ

Từ một trong những cổ phiếu luôn được cấp margin ở mức tối đa, PNJ đang lần lượt bị nhiều công ty chứng khoán loại khỏi danh mục cho vay ký quỹ hoặc hạ tỷ lệ cho vay sau chuỗi giảm sàn liên tiếp. Các tổ chức phân tích cũng bắt đầu thận trọng hơn khi đánh giá triển vọng của doanh nghiệp.

Tài chính - 08/07/2026 08:57

Chủ tịch UBCKNN: 'Phát hành chứng khoán phải trở thành động lực huy động nguồn lực cho tăng trưởng kinh tế'

Chủ tịch UBCKNN: 'Phát hành chứng khoán phải trở thành động lực huy động nguồn lực cho tăng trưởng kinh tế'

Trong bối cảnh Việt Nam đặt mục tiêu duy trì tốc độ tăng trưởng kinh tế ở mức hai con số trong giai đoạn tới, thị trường chứng khoán được kỳ vọng sẽ phát huy mạnh mẽ hơn vai trò là kênh huy động vốn trung và dài hạn cho nền kinh tế.

Tài chính - 07/07/2026 16:13

Sàn Giao dịch carbon chính thức vận hành, tạo nền tảng cho mục tiêu phát thải ròng bằng '0'

Sàn Giao dịch carbon chính thức vận hành, tạo nền tảng cho mục tiêu phát thải ròng bằng '0'

Việc đưa Sàn Giao dịch carbon trong nước vào hoạt động không chỉ hỗ trợ doanh nghiệp thực hiện cam kết phát thải ròng bằng "0" vào năm 2050 mà còn hình thành cơ chế giao dịch hạn ngạch và tín chỉ carbon theo nguyên tắc minh bạch, an toàn.

Tài chính - 07/07/2026 14:33

Máy tính, điện thoại rục rịch tăng giá: Doanh nghiệp ICT có hưởng lợi?

Máy tính, điện thoại rục rịch tăng giá: Doanh nghiệp ICT có hưởng lợi?

Làn sóng tăng giá chip nhớ dưới tác động của AI đang lan từ các nhà sản xuất bán dẫn sang những thương hiệu điện tử như Apple, Dell hay ASUS. Trong khi lợi nhuận của nhóm doanh nghiệp ICT niêm yết tại Việt Nam đồng loạt tăng mạnh trong quý I/2026, báo cáo tài chính cho thấy không phải mức tăng nào cũng phản ánh sức khỏe của hoạt động kinh doanh cốt lõi.

Tài chính - 07/07/2026 14:03

Thêm động thái trấn an từ người nhà Chủ tịch, cổ phiếu PNJ vẫn giảm sàn

Thêm động thái trấn an từ người nhà Chủ tịch, cổ phiếu PNJ vẫn giảm sàn

Bất chấp hàng loạt động thái trấn an nhà đầu tư sau vụ việc liên quan đến Công ty TNHH MTV Giám định PNJ (P-Lab), cổ phiếu PNJ vẫn tiếp tục bị bán mạnh, giảm sàn phiên thứ 3 liên tiếp.

Tài chính - 07/07/2026 10:36

UBCKNN xác định loạt nhiệm vụ trọng tâm 6 tháng cuối năm

UBCKNN xác định loạt nhiệm vụ trọng tâm 6 tháng cuối năm

Ủy ban Chứng khoán Nhà nước xác định trọng tâm những tháng cuối năm là hoàn thiện khung pháp lý, đẩy nhanh triển khai mô hình đối tác bù trừ trung tâm (CCP), nghiên cứu phát triển thị trường tài sản mã hóa và thực hiện các giải pháp nâng hạng thị trường.

Tài chính - 07/07/2026 08:46

PNJ khẳng định 28.000 viên kim cương không vào hệ thống

PNJ khẳng định 28.000 viên kim cương không vào hệ thống

Ban lãnh đạo PNJ khẳng định 28.000 viên kim cương trong vụ án buôn lậu đang được cơ quan điều tra làm rõ không đi vào hệ thống của doanh nghiệp. Đồng thời, PNJ cho biết kết quả kinh doanh quý II vẫn tăng trưởng hai chữ số, duy trì kế hoạch năm 2026 và triển khai nhiều biện pháp siết quản trị sau sự cố liên quan đến PNJ-LAB.

Tài chính - 06/07/2026 17:07

Chuyện gì đang diễn ra với cổ phiếu Hà Đô Group?

Chuyện gì đang diễn ra với cổ phiếu Hà Đô Group?

Sau khi mất khoảng 32% giá trị trong hơn ba tháng, cổ phiếu Hà Đô Group đang giao dịch ở vùng đáy hơn hai năm. Ngoài kết quả kinh doanh kém tích cực, doanh nghiệp còn đối mặt với rủi ro liên quan cơ chế giá FIT của các dự án điện mặt trời.

Tài chính - 06/07/2026 15:24

Doanh nghiệp niêm yết giữ vững chất lượng CBTT trong năm đầu áp dụng quy định mới

Doanh nghiệp niêm yết giữ vững chất lượng CBTT trong năm đầu áp dụng quy định mới

Năm đầu tiên áp dụng các tiêu chuẩn công bố thông tin theo Thông tư 68/2024/TT-BTC không làm suy giảm tỷ lệ doanh nghiệp đạt chuẩn. Theo khảo sát IR Awards 2026, 67% doanh nghiệp niêm yết đáp ứng đầy đủ các tiêu chí về công bố thông tin.

Tài chính - 06/07/2026 12:51

Tuần 6/7 - 10/7: Loạt doanh nghiệp chốt quyền trả cổ tức tiền mặt, mức cao nhất lên tới 40%

Tuần 6/7 - 10/7: Loạt doanh nghiệp chốt quyền trả cổ tức tiền mặt, mức cao nhất lên tới 40%

Việc nhiều doanh nghiệp đồng loạt chốt quyền trả cổ tức trong tuần thứ hai của tháng 7 phản ánh kết quả kinh doanh khả quan của năm tài chính trước cũng như nỗ lực duy trì chính sách chia sẻ lợi nhuận với cổ đông.

Tài chính - 06/07/2026 10:06

Nghị quyết 10-NQ/TW: Kiến tạo giá trị phát triển quốc gia từ khu vực kinh tế có vốn đầu tư nước ngoài

Nghị quyết 10-NQ/TW: Kiến tạo giá trị phát triển quốc gia từ khu vực kinh tế có vốn đầu tư nước ngoài

Nghị quyết 10-NQ/TW về phát triển kinh tế có vốn đầu tư nước ngoài phản ánh sự phát triển mới trong tư duy hoạch định chính sách của Việt Nam trước những biến động sâu sắc của kinh tế thế giới, từ mục tiêu bổ sung nguồn lực đầu tư, FDI được nhìn nhận như một cấu phần của chiến lược nâng cấp vị thế quốc gia trong chuỗi giá trị toàn cầu.

Tài chính - 06/07/2026 07:00